Investigadores de ciberseguridad han descubierto un paquete npm taimado que se hace producirse por un instalador de OpenClaw para implementar un troyano de entrada remoto (RAT) y robar datos confidenciales de hosts comprometidos.
El paquete, denominado “@openclaw-ai/openclawi”, fue subido al registro por un usufructuario llamado “openclaw-ai” el 3 de marzo de 2026. Se ha descargado 178 veces hasta la término. La biblioteca todavía está acondicionado para descargar al momento de escribir este artículo.
JFrog, que descubrió el paquete, dijo que está diseñado para robar credenciales del sistema, datos del navegador, billeteras criptográficas, claves SSH, bases de datos de Apple Keychain e historial de iMessage, así como para instalar un RAT persistente con capacidades de entrada remoto, proxy SOCKS5 y clonación de sesiones de navegador en vivo.
“El ataque se destaca por su amplia compendio de datos, su uso de ingeniería social para obtener la contraseña del sistema de la víctima y la sofisticación de su persistencia y su infraestructura C2 (comando y control)”, dijo el investigador de seguridad Meitar Palas. “Internamente, el malware se identifica como GhostLoader”.
La método maliciosa se activa mediante un arpón postinstalación, que reinstala el paquete conjuntamente usando el comando: “npm i -g @openclaw-ai/openclawai”. Una vez completada la instalación, el binario de OpenClaw apunta a “scripts/setup.js” mediante la propiedad “bin” en el archivo “package.json”.
Vale la pena señalar que el campo “bin” se usa para delimitar archivos ejecutables que deben agregarse a la RUTA del usufructuario durante la instalación del paquete. Esto, a su vez, convierte el paquete en una útil de itinerario de comandos accesible conjuntamente.
El archivo “setup.js” sirve como cuentagotas de primera etapa que, al ejecutarse, muestra una convincente interfaz de itinerario de comandos falsa con barras de progreso animadas para dar la impresión de que OpenClaw se está instalando en el host. Una vez completado el supuesto paso de instalación, el script muestra un mensaje de autorización inexacto del argolla iCloud, solicitando a los usuarios que ingresen su contraseña del sistema.
Simultáneamente, el script recupera una carga útil de JavaScript cifrada de segunda etapa del servidor C2 (“trackpipe(.)dev”), que luego se decodifica, se escribe en un archivo temporal y se genera como un proceso secundario independiente para continuar ejecutándose en segundo plano. El archivo temporal se elimina a posteriori de 60 segundos para ocultar rastros de la actividad.
“Si no se puede penetrar al directorio de Safari (no hay entrada completo al disco), el script muestra un cuadro de diálogo de AppleScript que insta al usufructuario a otorgar FDA a la Terminal, completo con instrucciones paso a paso y un mando que abre Preferencias del Sistema directamente”, explicó JFrog. “Esto permite que la carga útil de la segunda etapa robe notas de Apple, iMessage, historial de Safari y datos de correo”.
La segunda etapa de JavaScript, que cuenta con aproximadamente de 11,700 líneas, es un timador de información completo y un entorno RAT que es capaz de persistencia, compendio de datos, descifrado del navegador, comunicación C2, un proxy SOCKS5 y clonación en vivo del navegador. Asimismo está equipado para robar una amplia viso de datos.
- Cadena macOS, incluidas las bases de datos login.keychain-db recinto y todas las bases de datos de argolla iCloud
- Credenciales, cookies, tarjetas de crédito y datos de autocompletar de todos los navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex y Comet.
- Datos de aplicaciones de billetera de escritorio y extensiones de navegador
- Frases iniciales de billetera de criptomonedas
- Claves SSH
- Credenciales de desarrollador y de abundancia para AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker y GitHub
- Configuraciones de agentes de inteligencia sintético (IA), y
- Datos protegidos por la FDA, incluidas Apple Notes, historial de iMessage, historial de navegación de Safari, configuraciones de cuentas de correo e información de cuentas de Apple
En la etapa final, los datos recopilados se comprimen en un archivo tar.gz y se filtran a través de múltiples canales, incluso directamente al servidor C2, Telegram Bot API y GoFile.io.
Es más, el malware ingresa a un modo demonio persistente que le permite monitorear el contenido del portapapeles cada tres segundos y transmitir cualquier nota que coincida con uno de los nueve patrones predefinidos correspondientes a claves privadas, esencia WIF, esencia privada SOL, esencia privada RSA, dirección BTC, dirección Ethereum, esencia AWS, esencia OpenAI y esencia Strike.
Otras características incluyen controlar los procesos en ejecución, escanear los chats entrantes de iMessage en tiempo auténtico y ejecutar comandos enviados desde el servidor C2 para ejecutar un comando de shell subjetivo, destapar una URL en el navegador predeterminado de la víctima, descargar cargas aperos adicionales, cargar archivos, iniciar/detener un proxy SOCKS5, enumerar los navegadores disponibles, clonar un perfil de navegador e iniciarlo en modo sin cabecera, detener la clonación del navegador, autodestruirse y actualizarse.
La función de clonación del navegador es particularmente peligrosa ya que inicia una instancia de Chromium sin cabecera con el perfil del navegador existente que contiene cookies, datos de inicio de sesión y de historial. Esto le brinda al atacante una sesión de navegador completamente autenticada sin escazes de penetrar a credenciales.
“El paquete @openclaw-ai/openclawai combina ingeniería social, entrega de carga útil cifrada, amplia compendio de datos y una RAT persistente en un único paquete npm”, dijo JFrog.
“El instalador de CLI inexacto y pulido y el mensaje de Cadena son lo suficientemente convincentes como para extraer contraseñas del sistema de desarrolladores cautelosos, y una vez capturadas, esas credenciales desbloquean el descifrado de Cadena de macOS y la extirpación de credenciales del navegador que de otro modo serían bloqueadas por protecciones a nivel de sistema operante”.
